Abstrak
Politeknik Negeri Malang merupakan perguruan tinggi negeri yang memiliki komitmen terhadap
implementasi dan pengembangan teknologi informasi. Komitmen tersebut diwujudkan dengan adanya
UPT Pusat Komputer (Puskom) sebagai unit yang bertanggungjawab dalam bidang teknologi. Selama
ini pihak UPT Puskom telah menerapkan ISO 9001:2008 sebagai standar manajemen mutu layanan.
Puskom membutuhkan pengukuran risiko untuk memenuhi aspek keamanan dimana dalam ISO
9001:2008 memang sudah terdapat satu aspek manajemen risiko tentang pencegahan. Namun aspek
manajemen risiko tersebut hanya sebuah kegiatan perbaikan ketika terdapat ketidaksesuaian. Dengan
adanya manajemen risiko teknologi informasi ini diharapkan dapat memperkuat aspek manajemen risiko
tersebut. Sehingga organisasi dapat mengelola risiko dan meminimalisir kerugian yang terjadi.
Berdasarkan permasalahan yang ada maka perlu dilakukan manajemen risiko menggunakan metode
OCTAVE-S. Metode tersebut memanfaatkan pengetahuan dari staf UPT Puskom terhadap praktik dan
proses keamanan organisasi, serta menilai bagaimana kondisi keamanan yang ada pada UPT Puskom
saat ini. Dalam menerapkan metode OCTAVE-S, diperlukan proses interview untuk menggali informasi
mengenai kondisi Puskom saat ini, mengetahui aset penting, serta infrastruktur yang berkaitan dengan
aset penting. Sementara itu, kuesioner dilakukan untuk mengevaluasi praktik keamanan yang sudah
diterapkan Puskom saat ini. Dan observasi dilakukan untuk menggali lebih dalam informasi yang telah
didapat untuk memperkuat informasi tersebut. Hasil dari penelitian ini diketahui bahwa Puskom
memiliki 2 aset penting, yakni sistem informasi akademik dan sistem informasi puskom. Selain itu,
terdapat 5 area dari 15 area praktik keamanan pada UPT Puskom yang belum memenuhi standar
OCTAVE-S. Dari kelima area tersebut 2 area praktik keamanan memiliki status stoplight berwarna
kuning, serta 3 area praktik keamanan yang memiliki status stoplight berwarna merah. Area praktik
keamanan yang belum memenuhi standar OCTAVE-S kemudian dilakukan mitigasi. Adapun pada area
peraturan & kebijakan keamanan terdapat 4 poin mitigasi, area kontrol akses fisik terdapat 4 poin
mitigasi, area manajemen kerentanan terdapat 3 poin mitigasi, area perancangan & arsitektur keamanan
terdapat 1 poin mitigasi, area manajemen insiden terdapat 3 poin mitigasi.
Kata kunci: Manajemen Risiko, Teknologi Informasi, OCTAVE-S
Abstract
Malang State Polytechnic is a state university that is committed to the implementation and development
of information technology. This commitment is realized with the existence of the Computer Center UPT
(Puskom) as a unit responsible for technology. So far, the UPT Puskom has implemented ISO 9001:
2008 as a supplier service management standard. Regarding security responsibilities for the
requirements of ISO 9001: 2008. However, this aspect of risk management is only a remedial program
related to nonconformities. With the existence of risk management, this information is expected to
strengthen the risk management aspects. Can reduce the risk that occurs. Based on the existing
problems, it is necessary to do risk management using the OCTAVE-S method. This method uses the
knowledge of UPT Puskom staff on the organization's security practices and processes, as well as
evaluating the current security at the UPT Puskom. In applying the OCTAVE-S method, an interview
process is needed to request information about the current Puskom requirements, find out important
assets, as well as infrastructure related to important assets. Meanwhile, the questionnaire was carried
out to implement the security practices that have been applied by the Center at present. And observations
made to obtain more information that has been obtained to strengthen the information. The results of
this study prove that Puskom has 2 important assets, namely academic information systems and Puskom
information systems. In addition, there are 5 areas out of 15 security practice areas at the UPT Puskom
that do not meet OCTAVE-S standards. From this area, 2 security practice areas have yellow traffic
light status, and 3 security practice areas have red traffic light status. Areas of security practice that do
not meet OCTAVE-S standards are then mitigated. Based on the law, there are 4 mitigation points, the
access control area is 4 mitigation points, the management area considers 3 mitigation points, the
design & security architecture area is provided 1 mitigation point, the management area reports 3
mitigation points.
Keywords: Risk Management, Information Technology, OCTAVE-S
yang bermanfaat bagi UPT Puskom untuk Elemen tersebut diantaranya adalah rencana dan
mengidentifikasi kemungkinan munculnya kebijakan, tugas dan tanggung jawab, prosedur
ancaman risiko. dan pendekatan, persona dan performa, serta
penerapan dan pengembangan (Jordan &
2. LANDASAN KEPUSTAKAAN Silcock, 2005). Adapun penjelasan dari masing-
2.1 Teknologi Informasi masing elemen tersebut adalah sebagai berikut:
Teknologi informasi merupakan perangkat a. Rencana dan Kebijakan
lunak (software) dan perangkat keras (hardware) Untuk mencapai tujuan dari penerapan
yang memberikan dukungan manajemen, manajemen risiko TI, maka diperlukan
operasi, dan strategi dalam organisasi. Teknologi suatu perencanaan dan kebijakan.
informasi dapat dianggap sebagai aspek yang Perencanaan digunakan sebagai upaya
mencakup proses informasi, informasi dan untuk membuat prioritas risiko, sedangkan
komunikasi, serta infrastruktur terkait yang kebijakan membantu untuk membuat
digunakan untuk mengirimkan informasi agar peraturan yang digunakan sebagai dasar
meningkatkan efektivitas individu maupun mengelola risiko.
organisasi (Onn & Sorooshian, 2013). b. Tugas dan Tanggung Jawab
Sementara itu Aferdita Berisha-Shaqiri Setiap orang yang terlibat dalam
dalam jurnalnya menyatakan bahwa teknologi manajemen risiko TI perusahaan mendapat
informasi adalah suatu alat strategis bagi tugas dan tanggungjawabnya masing-
perusahaan untuk meningkatkan keunggulan masing. Pembagian tugas dan tanggung
kompetitif ketika dalam kondisi ketidakpastiaan jawab ini akan mempermudah dalam
(Shaqiri, 2015). Dari penjelasan tersebut dapat menerapkan manajemen risiko TI.
disimpulkan bahwa teknologi informasi adalah Pemilihan tugas yang sesuai dengan posisi
suatu perangkat lunak maupun keras yang orang yang bersangkutan juga akan
bermanfaat bagi perusahaan untuk mendukung mempengaruhi keberhasilan penerapan
operasional perusahaan demi tercapainya tujuan manajemen risiko TI.
perusahaan tersebut. c. Prosedur dan Pendekatan
Pada manajemen risiko TI terdapat
2.2 Manajemen Risiko Teknologi Informasi sejumlah fase yang harus dilalui untuk
Manajemen risiko teknologi informasi mencapai tujuan. Fase tersebut antara lain
merupakan cara yang dilakukan oleh suatu adalah identifikasi, penilaian, perawatan,
organisasi atau perusahaan dalam menekan serta pemantauan.
sekecil mungkin risiko-risiko TI yang dapat d. Persona dan performa
mengganggu proses bisnis perusahaan Pengetahuan dan kemampuan yang dimiliki
(Kurniawan, 2013). Setiap perusahaan perlu setiap persona atau orang dalam
melakukan manajemen risiko TI untuk menjalankan manajemen risiko TI sangat
mengukur, mengidentifikasi, dan memantau berpengaruh dalam mengelola risiko. Maka
risiko dari setiap aktivitas bisnis secara berkala. dari itu perlu dilakukan pelatihan sesuai
Selain itu, manajemen risiko TI memiliki fungsi dengan tanggung jawab dari masing-
sebagai upaya untuk mengamankan informasi masing persona.
dan aset penting perusahaan dari ancaman yang e. Penerapan dan pengembangan
bisa merugikan perusahaan terkait. Fase terakhir adalah dengan
Setiap perusahaan perlu melakukan mengimplementasikan manajemen risiko
manajemen risiko TI untuk mengukur, TI tersebut pada perusahaan. Kemudian
mengidentifikasi, dan memantau risiko dari dilakukan upaya untuk mengembangkan
setiap aktivitas bisnis secara berkala. Selain itu, dari apa yang sudah dilakukan saat ini.
manajemen risiko TI memiliki fungsi sebagai
upaya untuk mengamankan informasi dan aset
penting perusahaan dari ancaman yang bisa 2.3 OCTAVE-S
merugikan perusahaan terkait. OCTAVE-S merupakan pengembangan
Penerapan manajemen risiko TI pada dari metode OCTAVE yang dikhususkan untuk
perusahaan yang benar adalah dengan memenuhi kebutuhan organisasi kecil, sedikit
mempertimbangkan proses bisnis yang berjalan, berbeda dibanding metode OCTAVE yang lebih
serta memenuhi beberapa elemen penting. mengarah kepada organisasi besar. Hal ini untuk
menyesuaikan dengan sarana yang lebih terbatas
pada organisasi kecil. Meski begitu OCTAVE-S agar mendpatkan hasil yang maksimal
tetap menghasilkan output yang sama baiknya (Mikewati, 2011).
dengan OCTAVE, termasuk strategi
perlindungan di seluruh organisasi. Agar 3. METODOLOGI
penggunaan metode OCTAVE-S berjalan secara
maksimal maka peneliti harus memahami proses
bisnis maupun tujuan dari organisasi tersebut
(Alberts, Dorofee, Stevens, & Woody, 2005).